يمكن تكوين OpenAM 10.1.0 والإصدارات الأحدث في صورة موفر الهوية لتسجيلات الدخول المؤسسية في Portal for ArcGIS. تتضمن عملية التكوين خطوتين رئيسيتين: تسجيل IDP المؤسسي الخاص بك في Portal for ArcGIS وتسجيل Portal for ArcGIS بـ IDP المؤسسي.
المعلومات المطلوبة
يتطلب Portal for ArcGIS معلومات بيانات جدولية محددة لتلقيها من IDP عند دخول المستخدم باستخدام تسجيلات الدخول المؤسسية. بيانات NameID الجدولية هي بيانات جدولية إلزامية يجب إرسالها بواسطة في استجابة SAML لعمل اتحاد مع عمل Portal for ArcGIS. نظرًا لاستخدام Portal for ArcGIS قيمة NameID لتعريف مستخدم مسمى بشكل فريد، يُوصَى باستخدام قيمة ثابتة تقوم بتعريف المستخدم بشكل فريد. عند تسجيل دخول المستخدم من تسجيلات دخول IDP، سيقوم ArcGIS Online بإنشاء مستخدم جديد NameID مع اسم المستخدم عن طريق Portal for ArcGIS في مخزن المستخدم. الأحرف المسموح بها للقيمة المُرسلة بواسطة NameID هي أبجدية رقمية، _ (شرطة سفلية). (نقطة) و@ (علامة @). سيتم تجاوز أي أحرف أخرى لتتضمن الشرطة السفلية في اسم المستخدم المنشأ من قبل Portal for ArcGIS.
يدعم Portal for ArcGIS تدفق givenName وبيانات email address الجدولية للتسجيل المؤسس من IDP المؤسسي. عند تسجيل دخول مستخدم باستخدام تسجيل دخول مؤسسي، وإذا تلقّى Portal for ArcGIS بيانات جدولية بأسماء givenname وemail أو mail (في أي حالة)، فإن Portal for ArcGIS ينشر الاسم الكامل وعنوان البريد الإلكتروني لحساب المستخدم بالقيم المُستلمة من IDP. يوصى بالمرور في email address من IDP المؤسسي حيث مكن للمستخدم استقبال الإعلامات.
تسجيل OpenAM على أنه IDP المؤسسي مع Portal for ArcGIS
- سجل الدخول إلى موقع البوابة الإلكترونية على الويب كمسئول بالمؤسسة، وانقر على المؤسسة > تحرير الإعدادات > الأمان.
- في قسم سجلات الدخول المؤسسية ، حدد خيار موفر هوية واحدة ، وانقر فوق زر تعيين تسجيل الدخول المؤسسي ، وأدخل اسم المؤسسة في النافذة التي تظهر (على سبيل المثال مدينة ريدلاندز). عند وصول المستخدمين إلى موقع البوابة الإلكترونية على الويب، يتم عرض هذا النص كجزء من خيار تسجيل دخول SAML (على سبيل المثال، استخدام حساب مدينة ريدلاندز).
ملاحظة:
لا يمكنك إلا تسجيل IDP مؤسسي واحد للبوابة الإلكترونية.
- اختر ما إذا كن المستخدمين قادرين على الانضمام للمؤسسة تلقائياً أو بعد إضافة الحسابات للبوابة الإلكترونية. يُمكن تحديد الخيار الأول المستخدمين من تسجيل الدخول على المؤسسة باستخدام عملية تسجيل الدخول على المؤسسة بدون أي دعوة من المسئول. يتم تسجيل الحساب مع المؤسسة تلقائياً في أول يتم تسجيل الدخول. يتم تسجيل الحساب مع المؤسس تلقائيًا في المرة الأولى لتسجيل الدخول. يتطلب الخيار الثاني المسئول لتسجيل الحسابات الضرورية مع المؤسسة باستخدام أداة سطر الأوامر أو البرنامج النصي للبايثون. بمجرد تسجيل الحسابات، سيتمكن المستخدمون من تسجيل الدخول إلى المؤسسة.
تلميح:
يُوصي بتمييز حساب مؤسسة واحد على الاقل بصفتك مسئول البوابة الإلكترونية وتخفيض حساب المسئول الأولي أو حذفه. يُوصي أيضًا بتعطيل زر إنشاء حساب وصفحة تسجيل الاشتراك (signup.html) في موقع البوابة الإلكترونية على الويب حتى يتعذر على الأشخاص إنشاء حساباتهم الخاصة. فيما يتعلق بالتعليمات الكاملة، راجع موضوع تكوين SAML مع البوابة الإلكترونية.
- قم بتوفير معلومات البيانات التعريفية ل، IDP باستخدام أحد الخيارات الثلاث أدناه:
- عنوان URL—اختر الخيار الحالي إذا تم الوصول لعنوان البيانات التعريفية المجمع OpenAM بواسطة Portal for ArcGIS. عادةً يكون عنوان URL http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
ملاحظة:
إذا كان IDP المؤسسي يشمل شهادة موقعة ذاتية، فإنه قد تواجه خطًا عند محاولة تحديد عنوان URL لـ HTTPS للبيانات التعريفية. يحدث هذا الخطأ لأنه يتعذر على Portal for ArcGIS التحقق من شهادة التوقيع الذاتي لـ IDP. وبدلاً من ذلك، استخدم HTTP في عنوان URL أو استخدم أحد الخيارات الأخرى أدناه أو قم بتكوين IDP باستخدام شهادة موثوقة.
- ملف—إذا لم يتم الوصول لعنوان URL بواسطة Portal for ArcGIS، احفظ البيانات التعريفية التي تم الحصول عليها من عنوان URL أعلى ملف XML وقم بتحميل الملف.
- المعلمات—اختر هذا الخيار إذا كان يتعذر الوصول إلى عنوان URL أو ملف بيانات تعريف الاتحاد. أدخل القيم يدويًا، ووفّر المعلمات المطلوبة: عنوان URL لتسجيل الدخول والشهادة، مكودين بتنسيق BASE 64. اتصل بمسئول OpenAM للحصول عليها.
- عنوان URL—اختر الخيار الحالي إذا تم الوصول لعنوان البيانات التعريفية المجمع OpenAM بواسطة Portal for ArcGIS. عادةً يكون عنوان URL http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
- قم بتكوين الإعدادات المتقدمة التي تم تطبيقها:
- تأكيد التشفير—تحديد الخيار الحالي إذا تم تكوين OpenAM لتشفير استجابات التأكيد SAML.
- تمكين طلب التسجيل—تحديد الخيار الحالي لتجيل الدخول إلى Portal for ArcGIS يتم إرسال طلب مصادقة SAML إلى OpenAM.
- مُعرف الهوية—تحديث القيمة الحالية لاستخدام مُعرف هوية جديدة لتعريف البوابة الإلكترونية بشكل منفرد لـ OpenAM.
- تحديث الملفات التعريفية عند تسجيل الدخول—حدد هذا الخيار ليتضمن Portal for ArcGIS تحديث المستخدم givenName و بيانات email address الجدولية إذا تم تغييرهم منذ أخر عملية تسجيل دخول.
- تمكين عضوية المجموعة التي تعتمد على SAML- حدد هذا الخيار للسماح لأعضاء المؤسسة بربط مجموعات مؤسسية محددة قائمة على SAML بمجموعات Portal for ArcGIS أثناء عملية إنشاء مجموعة.
يستخدم تأكيد التشفير و تمكين الطلب الموقع شهادة samlcert في keystore البوابة الإلكترونية. لاستخدام شهادة جديدة، احذف شهادة samlcert ، إنشاء الشهادة الجديدة مع نفس الاسم المستعار (samlcert) اتباعًا للخطوات في تصدير الشهادة في البوابة الإلكترونية، وإعادة تشغيل البوابة الإلكترونية.
ملاحظة:
وحاليًا، نشر تسجيل الخروج لموفر هوية وعنوان URL لتسجيل الخروج غير مدعومين.
قم بتسجيل Portal for ArcGIS باعتباره موفر الخمة الموثوقة مع OpenAM
- تكوين IDP مستضافة في OpenAM.
- تسجيل الدخول على وحدة تحكم إدارة OpenAM. يتوفر ذلك عادةً في http://servername:port/<deploy_uri>/console.
- من على علامة تبويب المهام الشائعة ، انقر على إنشاء موفر الهوية المستضاف.
- أنشئ IDP المستضاف، وأضفه إلى دائرة الثقة. يمكن إضافتها إلى دائرة الثقة الحالية في حالة حصولك عليها بالفعل أو إنشاء أخرى جديدة.
- افتراضيًا، يتعامل IDP المستضاف مع OpenDJ، ومخزن المستخدم المضمن الذي يتم الحصول عليه مع OpenAM. إذا كنت ترغب في اتصال OpenAM بأي من مخازن المستخدم الأخرى مثل الدليل النشط، ستحتاج إلى إنشاء مصدر بيانات جديد أدنى علامة التبويب التحكم في الوصول لوحدة تحكم إدارة OpenAM الأساسية.
- قم بتكوين Portal for ArcGIS بصفته موفر الخدمة الموثوق مع OpenAM.
- الحصول على ملف البيانات التعريفية لمؤسستك وحفظه كملف XML.
للحصول على ملف البيانات التعريفية، سجّل الدخول كمسئول للمؤسسة، وافتح صفحة المؤسسة. انقر على زر تحرير الإعدادات وانقر على علامة تبويب التأمين وفي قسم تسجيلات الدخول المؤسسي وانقر على زر الحصول على موفر الخدمة.
- في وحدة تحكم إدارة OpenAM أدنى المهام الشائعة، انقر على تسجيل موفر الخدمة البعيد.
- حدد خيار ملف للبيانات التعريفية وقم بتحميل ملف XML للبيانات التعريفية المحفوظ في الخطوة السابقة.
- أضف موفر الخدمة لنفس دائرة الثقة التي أضفتها إلى IDP .
- الحصول على ملف البيانات التعريفية لمؤسستك وحفظه كملف XML.
- تكوين تنسيق NameID والبيانات الجدولية التي يتعين على OpenAM إرسالها إلى Portal for ArcGIS بعد مصادقة المستخدم.
- في وحدة تحكم إدارة OpenAM، انقر على علامة التبويب اتحاد. تتضمن علامة التبويب دائرة الثقة التي تم إضافتها مُسبقًا، وكذلك الخدمة وIDP.
- أدنى موفرات الهوية، انقر على IDP.
- في علامة تبويب محتوى التأكيد ، تحت تنسيق مُعرف الاسم، تأكد من أن urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified أعلى القائمة. هذا هو تنسيق NameID الذي سوف يتطلب Portal for ArcGIS وجوده في طلف SAML إلى OpenAM.
- تحت خريطة قيمة مُعرف الاسم، أو البيانات الجدولية من ملف المستخدم التعريفي، مثل mail أو upn، الذي سيرجع باعتباره NameID إلى Portal for ArcGIS بعد تصديق المستخدم.
مثال: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified =upn
- انقر على عملية التأكيد في IDP. أسفل مُعيّن البيانات الجدولية, قم بتكوين البيانات الجدولية من الملف التعريفي للمستخدم الذي ترغب في إرساله إلى Portal for ArcGIS.
يدعم Portal for ArcGIS تدفق givenName وبيانات email address الجدولية للتسجيل المؤسس من IDP المؤسسي. عند تسجيل دخول مستخدم باستخدام تسجيل دخول مؤسسي، وإذا تلقّى Portal for ArcGIS بيانات جدولية بأسماء givenname وemail أو mail (في أي حالة)، فإن Portal for ArcGIS ينشر الاسم الكامل وعنوان البريد الإلكتروني لحساب المستخدم بالقيم المُستلمة من IDP.
يُوصى باجتياز عنوان البريد الإلكتروني من IDP المؤسسي إلى Portal for ArcGIS. يُعد ذلك عمليًا عندما يصبح المستخدم مسئولاً لاحقًا. يمنح عنوان البريد الإلكتروني في الحساب المستخدم الحق في تلقي الإشعارات الخاصة بأي نشاط إداري وإرسال دعوات إلى مستخدمين آخرين للانضمام إلى المؤسسة.
انقر على حفظ لحفظ تنسيق NameID وتغييرات محتوى البيانات الجدولية.
- من على علامة تبويب اتحاد الخاص بلوحة تحكم إدارة OpenAM، استعرض موفر خدمة Portal for ArcGIS أسفل موفري الهوية.
- في على علامة تبويب محتوى التأكيد أسفل التشفير, حدد خيار التأكيد إذا اخترت إعدادات متقدمة تأكيد التشفير عند تسجيل OpenAM على أنه IDP المؤسسية مع Portal for ArcGIS.
- تحت تنسيق مُعرف الاسم، تحقق من أن urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified مُدرج بالأعلى. هذا هو تنسيق NameID الذي سوف يتطلب Portal for ArcGIS وجوده في طلف SAML إلى OpenAM..
- انقر على عملية التأكيد في IDP. أسفل مُعيّن البيانات الجدولية, قم بتكوين البيانات الجدولية من الملف التعريفي للمستخدم الذي ترغب في إرساله إلى Portal for ArcGIS.
- انقر على حفظ لحفظ تنسيق مُعرف الاسم وتغييرات محتوى البيانات الجدولية.
- أعد تشغيل خادم الويب حيث يتم نشر OpenAM.